目次
WAF (Web Application Firewall)とは?
WAF(Web Application Firewall)とは、Webサイト上のアプリケーション用ファイアウォールです。
Firewallはどのアプリケーションを通す/通さない、を制御します。
例えば、「httpを通さない」という制御は可能ですが、「httpを通す」とした場合にはhttp通信の中身はチェックできません。
これでは、クロスサイトスクリプティングやSQLインジェクションなどの攻撃を防ぐことができません。
WAFはHTTPなどの通信の「中身(データ)」をチェックし、クロスサイトスクリプティングやSQLインジェクションなどの攻撃をブロックします。
3つのWAF
WAFは主に
1、クラウド型
初期コストを抑えられ、運用も任せられる
2、ソフトウェア型
ハードウェアがない分、アプライアンス型より安価に導入可能
Webサーバに負荷がかかる
3、アプライアンス型
設定自由度が高い、Webサーバに付加をかけない
の3つの形式で提供されています。
【参考資料】Web Application Firewall 読本(IPA)
ProSolがお勧めするWAF
ProSolがお勧めするWAFはBarracuda社のWAFです。
7年連速で国内出荷台数シェアNo.1の製品です。
また、多くのWAFメーカーでは「クラウド型」か「アプライアンス型」のいずれか一方しか提供していません。
しかし、Barracuda社はクラウド型もアプライアンス型も両方提供しています。
アプライアンス型WAFはこちら
クラウド型WAFはこちら
企業規模やWebサイトの規模が小さいうちはクラウド型を利用し、成長後はアプライアンス型へ移行してセキュリティを高める、ということが可能です。
クラウドからアプライアンス並行しても管理画面などは変わらず、セキュリティ管理者はスムーズに管理を継続できます。
技術情報
WAFは製品導入後もセキュリティルールの調整などの作業が必要です。
BarracudaのWAFは、オンラインでマニュアルが提供されていますので安心です。